代码注入漏洞与防护

描述
代码注入（Code Injection）是一种安全漏洞，攻击者通过将恶意代码注入到应用程序中，并欺骗服务器执行该代码。与命令注入（注入系统命令）不同，代码注入通常针对应用程序自身的执行环境（如PHP、Python、Ruby等），利用动态代码执行函数（如eval()、exec()）或反序列化机制执行任意代码。常见场景包括：

• 用户输入被直接拼接到动态执行的代码中（如eval("$input")）。
• 模板引擎配置不当导致代码执行（如SSTI漏洞）。
• 反序列化漏洞中恶意对象触发代码执行（如PHP的__destruct()方法）。

解题过程

1. 漏洞原理分析
代码注入的核心问题是应用程序将用户可控数据作为代码执行。例如：

// PHP示例：动态执行用户输入的数学表达式
$expression = $_GET['calc'];
eval("echo $expression;"); // 用户输入"1; system('rm -rf /')"可导致灾难性后果

这里，eval()函数将字符串作为PHP代码执行，而用户输入未经过滤或转义，导致注入任意代码。

2. 常见代码注入场景

• 动态函数调用：如$func = $_GET['action']; $func();（调用任意函数）。
• 反序列化漏洞：如PHP中反序列化恶意数据触发魔术方法（如__wakeup()、__destruct()）。
• 模板注入：如Jinja2、Twig等模板引擎中允许执行表达式（如{{ 7*7 }}测试是否可执行代码）。

3. 漏洞检测方法

• 黑盒测试：
  • 在输入点尝试注入语法片段（如;、{{}}、#{ }）。
  • 提交系统函数调用（如phpinfo()、system('id')）观察响应。
• 白盒审计：
  • 搜索代码中的危险函数（如eval()、assert()、exec()）。
  • 检查用户输入是否直接传入这些函数。

4. 防护措施

• 避免动态代码执行：禁用eval()等函数，或严格限制其使用场景。
• 输入验证与过滤：
  • 白名单验证：仅允许预期字符（如数学表达式仅允许数字和运算符）。
  • 转义特殊字符：如对引号、分号进行转义（但需注意转义可能被绕过）。
• 沙箱环境：
  • 使用安全沙箱（如Python的ast.literal_eval()仅处理字面量）。
  • 限制执行环境权限（如Docker容器、无特权用户）。
• 安全配置：
  • 禁用危险函数（在php.ini中设置disable_functions = eval,exec）。
  • 模板引擎配置为自动转义（如Jinja2的autoescape=True）。

5. 实战案例：PHP反序列化代码注入

class Example {
    public $data = "echo 'Hello';";
    public function __destruct() {
        eval($this->data); // 反序列化时触发代码执行
    }
}
$serialized = serialize(new Example());
// 攻击者篡改序列化数据：$data改为"system('rm /tmp/test');"
$malicious = unserialize($_POST['data']); // 触发漏洞

防护方案：

• 避免反序列化用户数据，或使用JSON等安全格式。
• 验证序列化数据的完整性（如签名）。

总结
代码注入的危害极大，可能导致服务器完全沦陷。防护关键在于永不信任用户输入，并通过设计避免动态代码执行。若必须使用动态功能，应通过白名单、沙箱等多层防御降低风险。